第1章 概述V5課件

2018/7/5第1章概述1信息安全保障人員認證22引入隨著我國信息化進程的推進，信息系統(tǒng)應(yīng)用到社會的各個

領(lǐng)域。信息及網(wǎng)絡(luò)通信技術(shù)的進步為信息共享、數(shù)據(jù)融合、系統(tǒng)集約化提出了新的需求，信息系統(tǒng)在功能不斷強大的

同時，系統(tǒng)構(gòu)成卻越來越復(fù)雜，安全問題層出不窮。信息社會發(fā)展過程中，新舊信息系統(tǒng)并存的現(xiàn)象將一直存在，如何實現(xiàn)對信息系統(tǒng)的安全集成是我們本書討論的主要話題。12018/7/5信息安全保障人員認證33信息系統(tǒng)內(nèi)容1系統(tǒng)、信息系統(tǒng)集成2集成概念解析信息系統(tǒng)安全集成法律法規(guī)3一個核心兩種模式41.1信息系統(tǒng)22018/7/5信息安全保障人員認證51.1信息系統(tǒng)信息香農(nóng)博士：信息是消除不確定性的東西國標GB4894-85現(xiàn)代科學(xué)維納信息安全保障人員認證61.1信息系統(tǒng)系統(tǒng)貝塔朗菲：系統(tǒng)是相互聯(lián)系相互作用的諸元素的綜合體錢學(xué)森GB/T

20261朗文詞典32018/7/5信息安全保障人員認證7系統(tǒng)的基本特征有機組合整體性和獨立性層次性和聚合性穩(wěn)定性信息安全保障人員認證81.1信息系統(tǒng)信息系統(tǒng)GB/Z20986-2007：”由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，按照一定的應(yīng)用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)“42018/7/5信息安全保障人員認證9信息系統(tǒng)的基本特征有機組合整體性和獨立性層次性和聚合性穩(wěn)定性安全屬性1.2系統(tǒng)集成52018/7/5信息安全保障人員認證111.2系統(tǒng)集成信息系統(tǒng)集成系統(tǒng)集成集成數(shù)據(jù)載體環(huán)境邊界信息系統(tǒng)集成策

設(shè)

開劃

計

發(fā)管理

資源實施12保障服務(wù)信息安全保障人員認證62018/7/51.3信息系統(tǒng)安全集成信息安全保障人員認證141.3信息系統(tǒng)安全集成基本概念安全信息系統(tǒng)安全集成CCRC-ISV-R01:2018《信息安全服務(wù)資質(zhì)認證實施規(guī)則》CCRC-ISV-C01:2018《信息安全服務(wù)規(guī)范》72018/7/5信息安全保障人員認證15CISAW統(tǒng)一模型CISAW信息安全保障模型通過實現(xiàn)數(shù)據(jù)、載體、環(huán)境與邊界4個實體對象全生命周期的可用性、完整性、真實性、機密性、不可否認性等若干安全屬性來支撐“業(yè)務(wù)”的正常進行。并在實現(xiàn)安全屬性的過程中采取了預(yù)警、保護、檢測、響應(yīng)、恢復(fù)和反擊6個動態(tài)安全環(huán)節(jié)的技術(shù)手段與措施。模型中為實現(xiàn)上述對象的安全屬性及6個環(huán)節(jié)需要充足的人力、財務(wù)、技術(shù)、信息資源提供保障。而以上的各類對象、環(huán)節(jié)、資源都必須進行綜合有效的管理。生命環(huán)境期周完整真實機密可控可靠預(yù)警W可用不可否認反應(yīng)R保護P檢測D恢復(fù)R反擊C資源管理…環(huán)境與邊界數(shù)據(jù)載體業(yè)務(wù)信息安全保障人員認證16CISAW信息系統(tǒng)安全集成模型一個核心業(yè)務(wù)兩種模式安全集成和集成安全四個階段安全需求界定、安全設(shè)計、安全實施、安全保障八個環(huán)節(jié)82018/7/5信息安全保障人員認證17安全集成模型業(yè)務(wù)信息安全保障人員認證18CISAW信息系統(tǒng)安全集成模型92018/7/5信息安全保障人員認證19安全集成模型業(yè)務(wù)信息安全保障人員認證20安全集成模型業(yè)務(wù)對象措施資源管理102018/7/5信息安全保障人員認證21安全集成模型信息安全保障人員認證22安全集成本質(zhì)信息系統(tǒng)安全集成過程是安全集成所涉及的各個要素建立聯(lián)系的過程，這些要素包括核心業(yè)務(wù)對象、實體對象及其生命周期、安全屬性、資源與管理。業(yè)務(wù)流實體對象安全屬性集成資源整合管理統(tǒng)籌112018/7/5信息安全保障人員認證23安全的集成數(shù)據(jù)載體環(huán)境數(shù)據(jù)安全子系統(tǒng)/設(shè)備載體安全子系統(tǒng)/設(shè)備環(huán)境安全子系統(tǒng)/設(shè)備信息安全保障人員認證24安全的集成特點現(xiàn)有系統(tǒng)展開，具有事后性松耦合無法根本解決安全問題、脆弱性122018/7/5信息安全保障人員認證250203040506070801措施盤點措施計劃措施實施監(jiān)視評審改進安全集成模式風(fēng)險評估符合性要求信息安全保障人員認證26集成的安全132018/7/5信息安全保障人員認證27集成的安全特點同步性緊密耦合底層出發(fā)、較好解決安全問題和脆弱性信息安全保障人員認證280203040506070801評審監(jiān)視改進集成安全模式風(fēng)險評估符合性要求142018/7/5兩種模式符合性要求改進

風(fēng)險評估評審監(jiān)視

工程實施安全評測集成與安全設(shè)計評審改進監(jiān)視29符合性要求措施實施風(fēng)險評估措施盤點措施計劃信息安全保障人員認證1.4法律法規(guī)152018/7/5信息安全保障人員認證311.4法律法規(guī)及標準信息系統(tǒng)安全工程GB/T20261-2006/ISO218270:2002

SSE-CMMGB/T20282:2006信息系統(tǒng)工程安全管理要求GB/T20271:2006信息系統(tǒng)通用安全技術(shù)要求TCSEC標準CC標準第三章信息安全保障人員認證32法律法規(guī)及標準–國際標準信息安全管理體系相關(guān)標準ISO/IEC27000

ISMS概述和術(shù)語ISO/IEC27001信息安全管理體系要求ISO/IEC27002信息安全管理體系實用規(guī)則ISO/IEC27003信息安全管理體系實施指南ISO/IEC27004信息安全管理度量ISO/IEC27005信息安全風(fēng)險管理ISO/IEC27006

ISMS認證機構(gòu)的認可要求ISO/IEC27007信息安全管理體系審核指南ISO/IEC27008

ISMS控制措施審核員指南ISO/IEC27010部門間通信的信息安全管理ISO/IEC27011電信業(yè)信息安全管理指南162018/7/5信息安全保障人員認證33法律法規(guī)及標準–國際標準信息系統(tǒng)安全工程TCSEC標準美國可信計算機系統(tǒng)評價標準全安等級：A、B、C、D四類八個級別，27準則CC標準信息安全保障人員認證34法律法規(guī)及標準–國際標準信息系統(tǒng)安全工程TCSEC標準CC標準信息技術(shù)安全評估通用準則美、加、歐共體172018/7/5信息安全保障人員認證35法律法規(guī)及標準–國內(nèi)標準GB17859—1999計算機信息系統(tǒng)安全保護等級劃分準則GA/T390—2002計算機信息系統(tǒng)安全等級保護通用技術(shù)要求GA/T391—2002計算機信息系統(tǒng)安全等級保護管理要求GA163—1997計算機信息系統(tǒng)安全專用產(chǎn)品分類原則GB9361—88S計算站場地安全要求GB/T22080—2008信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081—2008信息技術(shù)安全技術(shù)信息安全管理實用規(guī)則……信息安全保障人員認證法律法規(guī)及標準–法律法規(guī)《中華人民共和國計算機信息系統(tǒng)安全保護條例》；《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》；《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)管理暫行規(guī)定實施辦法》；《關(guān)于維護互聯(lián)網(wǎng)安全的決定》；《互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所管理條例》；《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》；《互聯(lián)網(wǎng)電子郵件服務(wù)管理辦法》；《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見（2013）》；《國家安全監(jiān)管總局辦公廳關(guān)于印發(fā)總局網(wǎng)絡(luò)運行和信息安全保密管理辦法的通知》；《信息網(wǎng)絡(luò)傳播權(quán)保護條例（2013修訂）》；《全國人大常委會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》；《互聯(lián)網(wǎng)信息服務(wù)管理辦法》；《工業(yè)和信息化部關(guān)于近期部分互聯(lián)網(wǎng)站信息泄露事件的通告（2011）》；《中華人民共和國保守國家秘密法》；《中華人民共和國國家安全法》；《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷36

售許可證管理辦法》；182018/7/5信息安全保障人員認證37法律法規(guī)及標準–法律法規(guī)《涉及國家秘密的通信、辦公自動化和計算機信息系統(tǒng)審批暫行辦法》；《商用密碼管理條例》；《科學(xué)技術(shù)保密規(guī)定》；《關(guān)于禁止侵犯商業(yè)秘密行為的若干規(guī)定》；《加強科技人員流動中技術(shù)秘密管理的若干意見》；《計算機病毒防治管理辦法》；《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》；《中華人民共和國電信條例》；《聯(lián)網(wǎng)單位安全員管理辦法》；《計算機軟件保護條例》；《信息安全產(chǎn)品測評認證管理辦法》；《中華人民共和國電子簽名法》；《商用密碼產(chǎn)品銷售管理規(guī)定》；《電子認證服務(wù)密碼管理辦法》；《商用密碼科研管理規(guī)定》；《商用密碼產(chǎn)品生產(chǎn)管理規(guī)定》；信息安全保障人員認證38法律法規(guī)及標準–法律法規(guī)《電子認證服務(wù)管理辦法》；《關(guān)于加強新技術(shù)產(chǎn)品使用保密管理的通知》；《商用密碼產(chǎn)品使用管理規(guī)定》；《信息安全等級保護管理辦法》；《境外組織和個人在華使用密碼產(chǎn)品管理辦法》；《刑法修正案（七）關(guān)于信息安全的修訂與解讀》；《通信網(wǎng)絡(luò)安全防護管理辦法》；《中央企業(yè)商業(yè)秘密保護暫行規(guī)定》192018/7/5信息安全保障人員認證39謝謝！202018/7